平台
go
组件
github.com/minio/minio
修复版本
2026.0.1
0.0.1
CVE-2026-33419 是一个严重的安全漏洞,影响到 MinIO 对象存储服务。该漏洞允许攻击者通过 LDAP 登录验证绕过,利用用户枚举和缺乏速率限制进行暴力破解,从而可能导致未经授权的访问敏感数据。受影响的版本包括 MinIO 版本 ≤0.0.0-20260212201848-7aac2a2c5b7c。建议立即升级至 RELEASE.2026-03-17T21-25-16Z 以缓解风险。
该漏洞的潜在影响非常严重。攻击者可以利用它来枚举 MinIO 系统中的用户,并尝试通过 LDAP 登录进行暴力破解。如果成功,攻击者可以获得对存储在 MinIO 中的数据的未经授权的访问,包括敏感的业务数据、用户凭据和其他机密信息。攻击者还可以利用这些访问权限进行横向移动,访问网络中的其他系统和资源。由于 MinIO 经常用于存储关键业务数据,因此该漏洞的爆发可能导致严重的业务中断和数据泄露。
该漏洞已公开披露,并且存在公开的 PoC 代码。目前尚无关于该漏洞被积极利用的明确报告,但由于其严重性和易于利用性,预计未来可能会被攻击者利用。该漏洞已添加到 CISA KEV 目录中,表明其潜在风险较高。建议尽快采取缓解措施。
Organizations heavily reliant on MinIO for data storage, particularly those using LDAP authentication for user access, are at significant risk. Environments with weak LDAP password policies or those lacking network segmentation are especially vulnerable. Shared hosting environments utilizing MinIO also pose a heightened risk due to potential cross-tenant exposure.
• linux / server:
journalctl -u minio -g ldap | grep "invalid credentials"• generic web:
curl -I https://<minio_endpoint>/ | grep 'Server: MinIO' #Verify MinIO version• linux / server:
ps aux | grep minio | grep ldap #Check for LDAP connectionsdisclosure
patch
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到受影响版本之后的修复版本 RELEASE.2026-03-17T21-25-16Z。在升级之前,请务必备份 MinIO 数据。如果升级会导致系统中断,可以考虑暂时禁用 LDAP 登录,并强制用户使用其他身份验证方法。此外,可以配置 WAF 或代理服务器,以阻止来自可疑 IP 地址的 LDAP 登录尝试。还可以实施速率限制,以防止暴力破解攻击。升级后,请验证 LDAP 登录是否正常工作,并检查 MinIO 日志中是否有任何异常活动。
升级 MinIO 到 RELEASE.2026-03-17T21-25-16Z 或更高版本。此版本通过实施速率限制并删除可区分的错误响应来修复 LDAP 暴力破解漏洞,从而解决了用户枚举问题。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33419 是一个严重的安全漏洞,影响 MinIO 对象存储服务,允许攻击者通过 LDAP 登录验证绕过,利用用户枚举和缺乏速率限制进行暴力破解。
如果您正在使用 MinIO 版本 ≤0.0.0-20260212201848-7aac2a2c5b7c,则您可能受到此漏洞的影响。
建议立即升级到受影响版本之后的修复版本 RELEASE.2026-03-17T21-25-16Z。
目前尚无关于该漏洞被积极利用的明确报告,但由于其严重性和易于利用性,预计未来可能会被攻击者利用。
请访问 MinIO 官方网站或安全公告页面,以获取有关 CVE-2026-33419 的最新信息和公告。
上传你的 go.mod 文件,立即知道是否受影响。